Jeux vidéo et RGPD - quel impact sur la collecte des données ? Premier bilan
A quelques semaines du premier anniversaire de l'entrée en vigueur du RGPD, Virtual-DPO cabinet de DPO externalisé, a dressé en partenariat avec Me. Henri Leben et Me Eolia Busata, un premier bilan sur la mise en oeuvre de la nouvelle réglementation dans le secteur du jeu vidéo.
L'entrée en vigueur du Règlement Général sur la Protection des Données (RGPD) le 25 mai dernier, a été ressentie comme un coup de tonnerre par l'ensemble des métiers appelés à utiliser des données personnelles.
Non pas que les professionnels se soient soudainement inquiétés de la nécessité de respecter la vie privée de leurs clients, mais la crainte d'encourir une amende pouvant atteindre jusqu'à quatre pourcents de leur chiffre d'affaires mondial les a fortement incités à engager des procédures de mise en conformité.
Le secteur du jeu vidéo n'a pas échappé à ce mouvement. L'industrie du jeu vidéo est en effet particulièrement concernée par la nouvelle réglementation puisqu'elle est amenée à "consommer" énormément de données.
Comme n'importe quelle application dématérialisée, le jeu requiert l'accès aux coordonnées du joueur pour lui permettre de procéder au téléchargement, ou l'autoriser à se connecter à son compte.
Les données personnelles ne servent cependant pas seulement à identifier le joueur. Elles permettent également de connaître ses habitudes de jeu et éventuellement d'interagir avec lui.
La multiplication des supports de jeux (tablette, smartphone, ordinateur portable, etc.) augmente mécaniquement le nombre de supports de collecte de données. Elle ouvre également la voie à la collecte des données de l'environnement du joueur, telle que sa géolocalisation.
La donnée est donc au centre de l'industrie du jeu vidéo.
Dans ce cadre, et à un mois du premier anniversaire de l'entrée en vigueur du RGPD, dresser un premier bilan de l'application de la nouvelle réglementation permet de mieux comprendre l'impact du RGPD sur le traitement des données par les acteurs du jeu vidéo.
Ce bilan peut être fait à travers trois axes.
Tout d'abord, le jeu vidéo fait partie des activités et divertissements destinés à tous les âges et à tous les membres de la famille, enfants et adolescents compris. Il paraît donc indispensable de s'intéresser à la manière dont l'industrie du jeu vidéo a mis en oeuvre les nouvelles dispositions applicables au traitement des données des personnes mineures.
Ensuite, les données exploitées par les éditeurs et distributeurs concernent l'identité du joueur, mais également ses habitudes de jeu et un certain nombre d'indices comportementaux. Ces données peuvent être utilisées pour fidéliser le joueur ou l'inciter à télécharger d'autres jeux. Depuis l'entrée en vigueur du RGPD, cette utilisation ne peut être faite qu'avec le consentement exprès du joueur (opt-in). Là encore, il est intéressant de voir si et comment les principaux éditeurs et distributeurs ont mis en place cet opt-in.
Enfin, avec la présence de géants de l'industrie au Japon, en Chine, en Corée ou aux Etats-Unis, le stockage des données est fréquemment envisagé dans des pays étrangers.
La question de l'accès et de l'utilisation de ces données se pose avec acuité, le transfert de données personnelles hors Union Européenne étant strictement encadré par la nouvelle réglementation.
Partie 1 : RGPD et joueurs mineurs
I. Les jeux vidéo et la collecte des données des mineurs
Le développement des jeux sur smartphones et tablettes concerne notamment un vaste public de mineurs, qu'il s'agisse d'adolescents ou de très jeunes enfants accédant à leurs premiers jeux.
Le RGPD prévoit que le consentement des mineurs à la collecte de leurs données ne peut être valablement recueilli que lorsque ceux-ci sont âgés de seize ans et plus. Le Règlement laisse cependant aux Etats la possibilité de moduler cet âge plancher entre 13 et 16 ans.
Au sein de l'Union européenne, plusieurs pays ont choisi de moduler l'âge minimum pour consentir à la collecte des données des mineurs : la France a par exemple choisi de fixer cet âge à 15 ans, le Royaume-Uni et l'Espagne à 13 ans, l'Allemagne et l'Autriche à 16 ans.
En dessous de cet âge, la collecte doit être autorisée par les titulaires de l'autorité parentale.
Mesures mises en place par les éditeurs et les distributeurs de jeux vidéo, pour s'assurer du consentement des parents
Dans le cadre de ce bilan, nous nous sommes intéressés aux mesures mises en oeuvre par des sociétés proposant des jeux potentiellement à destination d'enfants de moins de quinze ans. (Pokemon Go, Dofus, Ankama, Clash of Clans, Dokkan Battle, League of Legends, Steam, GoG, etc.).
Il ressort de ce premier bilan que les pratiques des éditeurs et des plateformes varient. Certains acteurs ont clairement pris en compte les dispositions issues du RGPD en mettant en place des procédures de clôture des comptes lorsque le détenteur du compte ne fournit pas une autorisation parentale, d'autres tardent à se mettre en conformité…
Trois grandes tendances ressortent de notre bilan :
a. Mise en place de mesures de contrôle avec une double authentification :
Certains jeux incluent désormais une étape supplémentaire lors de la création du compte utilisateur par un mineur.
Les utilisateurs sont tout d'abord invités à indiquer un pseudonyme, un mot de passe, leur âge et une adresse email.
Si l'âge du joueur est inférieur à l'âge du public de destination fixé par l'éditeur, la création du compte échoue. Un certain nombre de jeux et de plateforme ne sont par exemple pas accessibles aux mineurs de moins de 13 ans.
Si l'âge renseigné est supérieur à cet âge limite mais inférieur à l'âge légal de consentement du pays de l'enfant, celui-ci est invité à indiquer l'adresse email de ses parents. Il est également indiqué que les informations collectées jusque-là seront supprimées en l'absence d'accord des parents.
Bien que la nationalité du joueur ne soit pas toujours demandée, on peut estimer qu'elle peut être déduite par la langue choisie ou la plateforme sélectionnée pour télécharger le jeu.
Bien sûr, et pour éviter le contournement de la double authentification, l'adresse email renseignée doit être différente de celle indiquée initialement.
Le propriétaire de la seconde adresse email reçoit ensuite un email l'informant de la volonté de l'enfant de créer un compte et de la nature des données qui seront collectées. Toutes les finalités de la collecte et du traitement ne sont pas détaillées dans l'email, mais celui-ci comprend des liens vers la politique de confidentialité et les CGV.
Le propriétaire de l'email peut alors refuser ou accepter la création du compte directement, c'est notamment le cas des jeux League of Legends et Pokemon Go par exemple.
En cas d'absence de confirmation, l'enfant est informé du refus. Il ne peut pas accéder aux jeux ou aux fonctionnalités du jeu impliquant la collecte de données. (Pokemon Go conditionne par exemple l'utilisation de la fonction "localisation" à l'obtention d'une autorisation parentale pour les joueurs de moins de 15 ans.)
En cas d'autorisation, l'enfant peut accéder au jeu et renseigner plus d'informations personnelles sur son compte. Il accède également à certaines fonctionnalités qui lui étaient jusque-là interdites : transaction, géolocalisation, échanges avec d'autres joueurs, etc.
Enfin, certaines plateformes demandent aux joueurs lors de la création du compte utilisateur de confirmer qu'ils ont bien atteint l'âge de 16 ans tel que prévu dans le RGPD. La création de compte et l'accès à leurs services se trouvent de fait interdits aux utilisateurs ne pouvant librement consentir aux traitements de leurs données, quel que soit le pays.
b. Mise en place de recommandation spécialement destinées aux mineurs, sans demande d'autorisation parentale :
Certains jeux et certaines plateformes de jeux ont mis en place une partie seulement des dispositions prévues par le RGPD.
Ainsi, certains prévoient désormais dans leur politique de vie privée des recommandations destinées spécialement aux enfants.
Ces recommandations adoptent un langage spécifique, souvent le tutoiement. Elles indiquent l'âge minimum d'utilisation des services, et ne tiennent pas compte des spécificités de chaque Etat (l'âge indiqué peut être de 13 ans, 14 ans, etc., sans justification).
Certains sites proposent également des pages d'information dédiées à la collecte des données des mineurs sans avoir mis en place, à notre connaissance, de mécanisme de vérification de l'âge des joueurs avant ou lors du téléchargement du jeu.
D'autres sites indiquent au sein de leur politique de vie privée les âges minimum en dessous duquel les ressortissants de chaque Etat ne sont pas autorisés à utiliser les services proposés. Au moment d'installer le jeu, l'autorisation d'un titulaire de l'autorité parentale n'est cependant pas requise.
c. Absence de prise en compte du RGPD
Certains jeux et certaines plateformes n'ont pas encore engagé de mise en conformité avec le RGPD. Certaines politiques de confidentialité in-app datées d'avant l'entrée en vigueur du Règlement, sont encore ainsi accessibles.
Leur politique de protection de la vie privée peut préciser les données collectées et la finalité des traitements, mais aucun mécanisme de vérification de l'âge minimum, d'information et d'obtention du consentement des parents n'est prévu.
Une fois le compte activé, les jeunes joueurs peuvent indiquer leur numéro de téléphone, adresse, date de naissance, civilité, nom et prénom.
La mention de la date de naissance ne déclenche pas de processus de validation par le titulaire de l'autorité parentale.
Lire la suite : Jeux vidéo et RGPD - Quelle efficacité pour les mesures mises en place ?
Contact : contactvirtual-dpo.fr - www.virtual-dpo.fr